Étape 2 : créer des points de terminaison d'un VPC - AWS Systems Manager
Limites et restrictions applicables aux points de terminaison de VPCCréation de points de terminaison de VPC pour Systems ManagerCréation d'une politique de point de terminaison de VPC d'interface

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 2 : créer des points de terminaison d'un VPC

Vous pouvez améliorer le niveau de sécurité de vos nœuds gérés (y compris les machines non EC2 dans un environnement hybride et multicloud) en AWS Systems Manager configurant l'utilisation d'un point de terminaison VPC d'interface dans Amazon Virtual Private Cloud (Amazon VPC). En utilisant un point de terminaison VPC d'interface (point de terminaison d'interface), vous pouvez vous connecter à des services alimentés par. AWS PrivateLink AWS PrivateLink est une technologie qui vous permet d'accéder en privé aux API Amazon Elastic Compute Cloud (Amazon EC2) et Systems Manager en utilisant des adresses IP privées.

AWS PrivateLink restreint tout le trafic réseau entre vos instances gérées, Systems Manager et Amazon EC2 vers le réseau Amazon. Cela signifie que vos instances gérées n'ont pas accès à Internet. Si vous l'utilisez AWS PrivateLink, vous n'avez pas besoin d'une passerelle Internet, d'un périphérique NAT ou d'une passerelle privée virtuelle.

Vous n'êtes pas obligé de le configurer AWS PrivateLink, mais c'est recommandé. Pour plus d'informations sur AWS PrivateLink les points de terminaison VPC, consultez la section et les points de terminaison AWS PrivateLink VPC.

Note

L'alternative à l'utilisation d'un point de terminaison de VPC est l'activation de l'accès Internet sortant sur vos instances gérées. Dans ce cas, les instances gérées doivent également autoriser le trafic sortant HTTPS (port 443) vers les points de terminaison suivants :

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

L'SSM Agent initie toutes les connexions au service Systems Manager dans le cloud. Vous n'avez donc pas besoin de configurer votre pare-feu pour autoriser le trafic entrant vers vos instances pour Systems Manager.

Pour de plus amples informations sur ces points de terminaison, consultez Référence : ec2messages, ssmmessages et autres opérations d'API.

À propos d'Amazon VPC

Vous pouvez utiliser Amazon Virtual Private Cloud (Amazon VPC) pour définir un réseau virtuel dans votre propre zone logiquement isolée au sein de ce que l' AWS Cloudon appelle un cloud privé virtuel (VPC). Vous pouvez lancer vos ressources AWS , comme des instances, dans votre VPC. Votre VPC ressemble beaucoup à un réseau traditionnel que vous pourriez exécuter dans votre propre centre de données, et présente l'avantage d'utiliser l'infrastructure évolutive d' AWS. Vous pouvez configurer votre VPC en sélectionnant sa plage d'adresses IP, en créant des sous-réseaux et en configurant des tables de routage, des passerelles réseau et des paramètres de sécurité. Vous pouvez connecter les instances de votre VPC à internet. Vous pouvez connecter votre VPC à votre propre centre de données d'entreprise, pour en faire AWS Cloud une extension de votre centre de données. Pour protéger les ressources dans chaque sous-réseau, vous pouvez utiliser plusieurs couches de sécurité, y compris des groupes de sécurité et des listes de contrôle d'accès réseau. Pour de plus amples informations, consultez le Guide de l'utilisateur Amazon VPC.

Limites et restrictions applicables aux points de terminaison de VPC

Avant de configurer les points de terminaison d'un VPC pour Systems Manager, tenez compte des restrictions et limitations suivantes.

Demandes croisées entre Régions

Les points de terminaison VPC ne prennent pas en charge les demandes interrégionales. Assurez-vous de créer votre point de terminaison au même endroit que votre compartiment. Région AWS Vous pouvez trouver l'emplacement de votre compartiment à l'aide de la console Amazon S3 ou à l'aide de la get-bucket-locationcommande. Utilisez un point de terminaison Amazon S3 spécifique à une région pour accéder à votre compartiment, par exemple, DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com. Pour plus d'informations sur les points de terminaison spécifiques à une région pour Amazon S3, veuillez consulter la rubrique Points de terminaison Amazon S3 dans le Référence générale d'Amazon Web Services. Si vous utilisez le AWS CLI pour envoyer des demandes à Amazon S3, définissez votre région par défaut sur la même région que votre compartiment, ou utilisez le --region paramètre dans vos demandes.

Connexions d'appairage de VPC

Les points de terminaison de l'interface VPC sont accessibles via des connexions d'appairage de VPC intra-région et inter-région . Pour plus d'informations sur les demandes de connexion d'appairage de VPC pour les points de terminaison de l'interface VPC, consultez Connexions d'appairage de VPC (Quotas) dans le Guide de l'utilisateur Amazon Virtual Private Cloud.

Les connexions de point de terminaison de passerelle VPC ne peuvent être étendues à l'extérieur d'un VPC. Les ressources de l'autre côté d'une connexion d'appairage de VPC dans votre VPC ne peuvent pas utiliser le point de terminaison de passerelle pour communiquer avec des ressources du service de point de terminaison de passerelle. Pour plus d'informations sur les demandes de connexion d'appairage de VPC pour les points de terminaison de passerelle VPC, consultez Points de terminaison VPC (Quotas) dans le Guide de l'utilisateur Amazon Virtual Private Cloud.

Connexions entrantes

Le groupe de sécurité attaché au point de terminaison d'un VPC doit autoriser les connexions entrantes sur le port 443 à partir du sous-réseau privé de l'instance gérée. Si les connexions entrantes ne sont pas autorisées, l'instance gérée ne peut pas se connecter aux points de terminaison SSM et EC2.

Résolution DNS

Si vous utilisez un serveur DNS personnalisé, vous devez ajouter un redirecteur conditionnel pour toutes les requêtes adressées au domaine amazonaws.com au serveur Amazon DNS de votre VPC.

Compartiments S3

Votre politique de point de terminaison d'un VPC doit au moins autoriser l'accès aux compartiments Simple Storage Service (Amazon S3) suivants :

  • Les compartiments S3 répertoriés dans Communications de l'SSM Agent avec des compartiments S3 gérés par AWS.

  • Les compartiments S3 utilisés par Patch Manager pour les opérations d'application de correctifs de base dans votre Région AWS. Ces compartiments contiennent le code qui est extrait et exécuté sur des instances par le service de référence de correctif. Chacun Région AWS possède ses propres compartiments d'opérations de base de correctifs à partir desquels le code est extrait lors de l'exécution d'un document de référence de correctif. Si le code ne peut pas être téléchargé, la commande de référentiel de correctifs échoue.

    Note

    Si vous utilisez un pare-feu local et que vous prévoyez d'utiliser Patch Manager, ce pare-feu doit également autoriser l'accès au point de terminaison du référentiel de correctifs approprié.

    Pour donner accès aux compartiments de votre terminal Région AWS, incluez l'autorisation suivante dans votre politique de point de terminaison.

    arn:aws:s3:::patch-baseline-snapshot-region/*
arn:aws:s3:::aws-ssm-region/*

    région représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple us-east-2 pour la région USA Est (Ohio). Pour obtenir une liste des valeurs region prises en charge, consultez la colonne Région dans la rubrique Points de terminaison de service Systems Manager de la Référence générale d'Amazon Web Services.

    Consultez l'exemple suivant.

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/*
arn:aws:s3:::aws-ssm-us-east-2/*
    Note

    Dans la région Moyen-Orient (Bahreïn) (me-south-1) uniquement, ces compartiments utilisent une convention de dénomination différente. Pour cela Région AWS uniquement, utilisez plutôt les deux compartiments suivants :

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

Amazon CloudWatch Logs

Si vous n'autorisez pas vos instances à accéder à Internet, créez un point de terminaison VPC pour que les CloudWatch journaux utilisent les fonctionnalités qui envoient des journaux aux CloudWatch journaux. Pour plus d'informations sur la création d'un point de terminaison pour les CloudWatch journaux, consultez la section Création d'un point de terminaison VPC pour les CloudWatch journaux dans le guide de l'utilisateur Amazon CloudWatch Logs.

Serveur DNS dans un environnement hybride et multicloud

Pour plus d'informations sur la configuration du DNS pour qu'il fonctionne avec des AWS PrivateLink points de terminaison dans des environnements hybrides et multicloud, consultez la section DNS privé pour les points de terminaison d'interface dans le guide de l'utilisateur Amazon VPC. Si vous souhaitez utiliser votre propre DNS, vous pouvez utiliser Route 53 Resolver. Pour plus d'informations, consultez Résolution de requêtes DNS entre des VPC et votre réseau dans le Guide du développeur Amazon Route 53.

Création de points de terminaison de VPC pour Systems Manager

Utilisez les informations suivantes pour créer une interface VPC et des points de terminaison de passerelle pour AWS Systems Manager. Cette rubrique renvoie aux procédures du Guide de l’utilisateur Amazon VPC.

Pour créer des points de terminaison de VPC pour Systems Manager

Dans la première étape de cette procédure, vous créez trois points de terminaison d’interface obligatoires et un optionnel pour Systems Manager. Les trois points de terminaison sont requis pour que Systems Manager fonctionne dans un VPC. Le quatrième, com.amazonaws.region.ssmmessages, est uniquement obligatoire si vous utilisez des capacités Session Manager.

Dans la deuxième étape, vous créez le point de terminaison de passerelle requis pour que Systems Manager accède à Amazon S3.

Note

région représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple us-east-2 pour la région USA Est (Ohio). Pour obtenir une liste des valeurs region prises en charge, consultez la colonne Région dans la rubrique Points de terminaison de service Systems Manager de la Référence générale d'Amazon Web Services.

  1. Suivez les étapes dans Création d'un point de terminaison d'interface pour créer les points de terminaison d'interface suivants :

    • com.amazonaws.region.ssm : point de terminaison pour le service Systems Manager.

    • com.amazonaws.region.ec2messages : Systems Manager utilise ce point de terminaison pour effectuer des appels de SSM Agent au service Systems Manager.

    • com.amazonaws.region.ec2 : si vous utilisez Systems Manager pour créer des instantanés activés pour VSS, vous devez vous assurer que vous disposez d'un point de terminaison pour le service EC2. Sans le point de terminaison EC2 défini, l'appel pour énumérer les volumes Amazon EBS attachés échoue, ce qui entraîne l'échec de la commande Systems Manager.

    • com.amazonaws.region.ssmmessages : ce point de terminaison est uniquement requis si vous vous connectez à vos instances via un canal de données sécurisé à l'aide de Session Manager. Pour plus d'informations, consultez AWS Systems Manager Session Manager et Référence : ec2messages, ssmmessages et autres opérations d'API.

    • com.amazonaws.region.kms : ce point de terminaison est facultatif. Cependant, il peut être créé si vous souhaitez utiliser le chiffrement AWS Key Management Service (AWS KMS) pour les Parameter Store paramètres Session Manager ou.

    • com.amazonaws.region.logs : ce point de terminaison est facultatif. Toutefois, il peut être créé si vous souhaitez utiliser Amazon CloudWatch Logs (CloudWatch Logs) pour Session ManagerRun Command, ou SSM Agent les journaux.

  2. Suivez les étapes dans Création d'un point de terminaison de passerelle pour créer le point de terminaison de passerelle suivant pour Amazon S3.

    • com.amazonaws.region.s3 : Systems Manager utilise ce point de terminaison pour mettre à jour SSM Agent et pour effectuer des opérations d'application de correctifs. Systems Manager utilise également ce point de terminaison pour des tâches telles que charger les journaux de sortie que vous choisissez de stocker dans des compartiments S3, récupérer des scripts ou d'autres fichiers que vous stockez dans des compartiments, etc. Si le groupe de sécurité associé à votre instance restreint le trafic sortant, vous devez ajouter une règle pour autoriser le trafic vers la liste de préfixes pour Amazon S3. Pour plus d'informations, consultez Modifier votre groupe de sécurité dans le Guide AWS PrivateLink .

    Pour plus d'informations sur les compartiments S3 AWS gérés auxquels SSM Agent il est nécessaire d'accéder, consultezCommunications de l'SSM Agent avec des compartiments S3 gérés par AWS. Si vous utilisez un point de terminaison de cloud privé virtuel (VPC) dans vos opérations Systems Manager, vous devez fournir une autorisation explicite dans un profil d'instance EC2 pour Systems Manager, ou dans une fonction du service pour les nœuds gérés non EC2 d'un environnement hybride et multicloud.

Création d'une politique de point de terminaison de VPC d'interface

Vous pouvez créer des politiques pour les points de terminaison de l'interface VPC AWS Systems Manager dans lesquelles vous pouvez spécifier :

  • Le principal qui peut exécuter des actions.

  • Les actions qui peuvent être effectuées.

  • Les ressources qui peuvent avoir des actions exécutées sur elles.

Pour plus d'informations, consultez Contrôle de l'accès aux services avec points de terminaison d'un VPC dans le Guide de l'utilisateur Amazon VPC.